Memigrasikan playbook pemicu pemberitahuan Microsoft Sentinel Anda ke aturan otomatisasi
Artikel ini menjelaskan bagaimana (dan mengapa) mengambil playbook yang ada yang dibangun di atas pemicu pemberitahuan dan memigrasikannya agar tidak dipanggil oleh aturan analitik untuk dipanggil oleh aturan otomatisasi.
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Mengapa bermigrasi
Jika Anda telah membuat dan membangun playbook untuk merespons pemberitahuan (bukan insiden), dan melampirkannya ke aturan analitik, kami sangat mendorong Anda untuk memindahkan playbook ini ke aturan otomatisasi. Melakukannya akan memberi Anda keuntungan berikut:
Mengelola semua otomatisasi Anda dari satu tampilan, terlepas dari jenisnya
("panel kaca tunggal").Menentukan satu aturan otomatisasi yang dapat memicu playbook untuk beberapa aturan analitik, alih-alih mengonfigurasi setiap aturan analitik secara independen.
Menentukan urutan di mana playbook pemberitahuan akan dijalankan.
Mendukung skenario yang menetapkan tanggal kedaluwarsa untuk menjalankan playbook.
Penting untuk dipahami bahwa playbook itu sendiri tidak akan berubah sama sekali. Hanya mekanisme yang memintanya untuk dijalankan yang akan berubah.
Akhirnya, kemampuan untuk memanggil playbook dari aturan analitik akan ditolak efektif Maret 2026. Sampai saat itu, playbook yang sudah didefinisikan untuk dipanggil dari aturan analitik akan terus berjalan, tetapi per Juni 2023 Anda tidak dapat lagi menambahkan playbook ke daftar yang dipanggil dari aturan analitik. Satu-satunya opsi yang tersisa adalah memanggilnya dari aturan otomatisasi.
Cara bermigrasi
Jika Anda memigrasikan playbook yang hanya digunakan oleh satu aturan analitik, ikuti instruksi di Membuat aturan otomatisasi dari aturan analitik.
Jika Anda memigrasikan playbook yang digunakan oleh lebih dari satu aturan analitik, ikuti petunjuk di Membuat aturan otomatisasi baru dari portal Automation.
Buat aturan otomatisasi dari aturan analitik
Untuk Microsoft Azure Sentinel di portal Azure, pilih halaman Analitik Konfigurasi>. Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Microsoft Sentinel>Configuration>Analytics.
Pada Aturan aktif, temukan aturan analitik yang sudah dikonfigurasi untuk menjalankan playbook.
Pilih Edit.
Pilih tab Respons otomatis.
Playbook yang dikonfigurasi langsung untuk dijalankan dari aturan analitik ini dapat ditemukan pada Otomatisasi pemberitahuan (klasik). Perhatikan peringatan tentang penghentian.
Pilih + Tambahkan baru di bawah Aturan otomatisasi (di bagian atas layar) untuk membuat aturan otomatisasi baru.
Di panel Buat aturan otomatisasi baru, di bawah Pemicu, pilih Saat pemberitahuan dibuat.
Pada Tindakan, lihat bahwa tindakan Jalankan playbook, sebagai satu-satunya jenis tindakan yang tersedia, dipilih secara otomatis dan berwarna abu-abu. Pilih playbook Anda dari yang tersedia di daftar drop-down di baris di bawah ini.
Pilih Terapkan. Sekarang Anda akan melihat aturan baru di kisi aturan otomatisasi.
Hapus playbook dari bagian Otomatisasi pemberitahuan (klasik).
Tinjau dan perbarui aturan analitik untuk menyimpan perubahan Anda.
Membuat aturan otomatisasi baru dari portal Automation
Untuk Microsoft Azure Sentinel di portal Azure, pilih halaman Analitik Konfigurasi>. Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Microsoft Sentinel>Configuration>Analytics.
Dari bilah menu atas, pilih Buat -> Aturan otomatisasi.
Di panel Buat aturan otomatisasi baru, di menu drop-down Pemicu , pilih Saat pemberitahuan dibuat.
Pada Syarat, pilih aturan analitik tempat Anda ingin menjalankan playbook tertentu atau sekumpulan playbook.
Pada Tindakan, untuk setiap playbook yang Anda inginkan untuk dipanggil aturan ini, pilih + Tambahkan tindakan. Tindakan Jalankan playbook akan dipilih secara otomatis dan berwarna abu-abu. Pilih dari daftar playbook yang tersedia di daftar drop-down pada baris di bawah ini. Urutkan tindakan sesuai dengan urutan yang Anda inginkan untuk dijalankan playbook. Anda bisa mengubah urutan tindakan dengan memilih panah atas/bawah di samping setiap tindakan.
Pilih Terapkan untuk menyimpan aturan otomatisasi.
Edit aturan analitik atau aturan yang memanggil playbook ini (aturan yang Anda tentukan pada Syarat), menghapus playbook dari bagian Otomatisasi pemberitahuan (klasik) dari tab Respons otomatis.
Langkah berikutnya
Dalam dokumen ini, Anda telah mempelajari cara memigrasikan playbook berdasarkan pemicu peringatan dari aturan analitik ke aturan otomatisasi.
- Untuk mempelajari lebih lanjut tentang aturan otomatisasi, lihat Mengotomatiskan respons ancaman di Microsoft Sentinel dengan aturan otomatisasi
- Untuk mulai membuat aturan otomatisasi, lihat Membuat dan menggunakan aturan otomatisasi Microsoft Sentinel untuk mengelola respon
- Untuk mempelajari lebih lanjut opsi otomatisasi tingkat lanjut, lihat Mengotomatiskan respons ancaman dengan playbook di Microsoft Azure Sentinel.
- Untuk mendapatkan bantuan terkait menerapkan aturan otomatisasi dan playbook, lihat Tutorial: Menggunakan playbook untuk mengotomatiskan respons ancaman di Microsoft Azure Sentinel.